Leia o artigo anterior:

Plano de TI com base no CobiT – Parte 01

*

Olá, pessoal, hoje continuaremos a falar sobre o Plano de TI com base nas melhores práticas do CobiT. Conforme este renomado framework, os requisitos de Compliance devem ser incluídos num plano de TI, dependendo do segmento do negócio e da abrangência do mesmo.

Vale deixar claro que os Requisitos de Compliance são parte integrante do primeiro domínio da Governança de TI, Alinhamento Estratégico, o qual foi iniciado no artigo anterior, publicado no dia 08 de Janeiro/10.

Primeiramente vamos explicar o que são requisitos de Compliace. São marcos regulatórios externos nos quais a TI de uma empresa deve atender dependendo do segmento de negócio e também de onde estão os investimentos da empresa. Por exemplo, as empresas de telecomunicações no Brasil devem atender as implicações da ANATEL, assim como os bancos devem atender a regulações do banco central do Brasil.

Iremos falar sobre o Sarbanes-Oxley Act(SOA), como é conhecida no mundo dos negócios, uma lei americana criada a fim de proteger os investidores do mercado de capital contra fraudes e escândalos financeiros de companhias abertas. Tal regulamentação tem foco em controles internos sobre relatórios financeiros, tendo forte impacto na área de TI do qual não podia deixar de fazer parte do nosso modelo de Governança devendo ser contemplado no alinhamento estratégico. Para começar, é importante citar que não são todas as organizações que devem atender os marcos regulatórios do SOA, e sim as empresas brasileiras (ou de qualquer nacionalidade) que possuem ações em bolsas de valores norte-americanas.

Com este breve release, podemos agora entender porque a SOA tem forte impacto sobre a TI.

Para atender o SOA, as informações financeiras sobre os resultados devem atender os seguintes princípios:

• O conteúdo da informação deve ser apropriado;
• A informação deve estar disponível no momento em que for necessária;
• A informação é atual ou pelo menos a última disponível;
• Os dados e informações estão corretos;
• A informação é acessível aos usuários interessados;
• Há um sistema de controle interno sobre os relatórios financeiros que garantem todos os demais itens anteriores.

É interessante lembrar que as informações financeiras e de resultados são originadas dos processos de negócios, que, nos dias de hoje, devem estar automatizados devido à velocidade das necessidades de informações e poder de gerenciamento. Então, podemos pensar em todos os sistemas transacionais da empresa, relativos a pagamento de pessoal, transações com fornecedores, clientes, acionistas, com governo, etc. que devem ser considerados quando pensamos em SOA.

Como sabemos que a TI é um elemento crítico como fonte de risco para continuidade do negócio e para o atendimento ao SOA, coloco abaixo a tabela que explana as principais implicações operacionais do SOA para a TI, baseada nos princípios citados anteriormente:

Requisitos de Qualidade da informação	Implicações do SOA
O conteúdo da informação deve ser apropriado	Processo de desenvolvimento de Requisitos de software; Processo de gerenciamento de Requisitos de software; Métodos de engenharia de software; Processos de verificação (testes); Processo de validação (aceitação pelos usuários); Processo de segurança da informação empregado nos aplicativos; Processo de aceitação de produtos de terceiros; Processo de gestão da mudança e da configuração.
A informação deve estar disponível no momento em que for necessária;	Disponibilidade de aplicativos; Disponibilidade de infra-estrutura; Gerenciamento de Incidentes e problemas no ambiente de produção; Suporte a usuários; Gestão de aplicativos e de ativos de TI; Processos de gerenciamento da infra-estrutura; Segurança da infra-estrutura; Gerenciamento da Contingência; Gerenciamento da disponibilidade e desempenho.
A informação é atual ou pelo menos a última disponível;	Processo de gerenciamento de dados; Planejamento e gerenciamento da contingência e de desastres; Segurança da informação na infra-estrutura;
Os dados e informações estão corretos;	Segurança da Informação em aplicativos; Segurança da informação na infra-estrutura; Teste de software; Controle da Mudança e configuração; Gerenciamento de Dados; Gerenciamento de requisitos.
A informação é acessível aos usuários interessados;	Segurança da informação referente a controle de acessos e privilégios; Controle de autorizações.
Há um sistema de controle interno sobre os relatórios financeiros que garantem todos os demais itens anteriores.	Avaliação de Riscos de TI; Gestão da Qualidade; Plano de desastres e recuperação.

Implicações do SOA sobre a TI

Então com base em tantos tópicos que afetam diretamente a TI e os processos que a envolve, o impacto do SOA sobre a Governança de TI deixa claro que:

• Todas estas questões deve ser contempladas no Plano de TI;
• Novos controles em aplicações do legado devem ser implementados caso as atuais não atendam os requisitos;
• Novas aplicações devem ser implantadas caso necessário;
• Processos de TI existentes devem ser reajustados e melhorados;
• Novos indicadores de desempenho deverão ser definidos e implantados;
• Os riscos deverão ser monitorados.

Por fim, conseguimos enxergar que as empresas que possuem ações em bolsas norte-americanas têm uma grande lista de requisitos que envolvem a TI, a fim de demonstrar transparência da saúde da empresa principalmente para os acionistas e novos investidores. É preciso citar também que alguns dos requisitos podem variar de acordo com o segmento da organização.

No próximo artigo falaremos sobre o domínio Decisão, compromisso, priorização e alocação de recursos e continuaremos a ver sobre os outros dois domínios que compõe um plano de governança de TI de sucesso.

Até mais.

*

Bibliografia:

FERNANDES, A.A, ABREU, V.F, Implantando a Governança de TI da Estratégia à Gestão de Processos e Serviços, Brasport, 2a edição, 2008.